[linux-l] VPN

[Stephan Uhlmann]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Hallo!

Erstmal ein grosses Danke fuer deine ausfuehrliche Antwort, Steffen :-)

On Tuesday 09 July 2002 10:42, Steffen Dettmer wrote:
>
> Mit PPTP hab ich mich nie eingehend beschäftigt, da für mich die
> ganze Arbeit sinnlos ist, wenn es nicht mal sicher ist :)
>

Soweit ich gelesen (http://www.counterpane.com/pptp-faq.html) habe, ist nur 
Microsofts Implementation des PPTP unsicher. Das Protokoll an sich ist ok. 
Hab nur leider nix gefunden, ob die Mischung Linux PPTP-Server und Windows 
PPTP-Client eine sichere ist oder ob der buggy PPTP Code von Microsoft meine 
heile Linux-Welt infiziert ;-)

> Ich fand IPSec auch nicht so kompliziert. Natürlich sollte man IP
> verstehen und Routingtabellen und sowas, wenn man damit
> anfängt...

Gut dann schoepfe ich Mut. IP etc. ist kein Problem. Nur bei asynchronen 
Verschluesselungsverfahren (die IPSec wohl benutzt) muss ich immer noch ein 
zweites mal drueber nachdenken, wer denn nun fuer was den public und den 
private key benutzt. Aber diese schoenen Beispiele mit Alice und Bob findet 
man ja relativ schnell ;-)

> Um das mal abzukürzen: Du möchtest IPSec ESP im Tunnelmode.

Warum nicht den Transport Mode? Es ist doch nur eine Maschine auf der 
Client-Seite. Damit muesste ich mir doch das Ausetzen eines Gateways auf der 
Clientmaschine sparen koennen, oder? Sprich das PGPNet waere ueberfluessig. 
Oder kann Windows nativ kein IPSec?

[...]

> [Wenn der Unterschied zwischen Potr und
> Protokoll nicht ganz klar ist, wie ich's erstaunlich oft erlebt
> hab, gleich nachlesen :)].

Wenn du mit "Potr" "Port" meintest, denn ist das klar. Ich hatte Setups wo 
ein "geheimes" Telnet (Protokoll) auf Port 4782 lief. "Das findet niemand". 
Hach das waren noch Zeiten ;-)


[...]


> Das zweite Problem heißt NAT/Masquerading. Theoretisch kriegt man
> ESP Tunnel da durch; aber ich würde es lieber lassen. Es gibt da
> dann jedenfalls einen Kernelpatch. Ich hab mal auf Mailinglisten
> gefragt, ob IP-forwarder auch funktionieren, sollte eigentlich,
> aber egal.

Nein. Der Tunnelendpunkt soll der Rechner sein der auch NAT-Gateway ist. 
Wuerde mich ja sonst public IP-Adressen kosten ;-)

[...]

>
> So, viel Erfolg - mit der detailierten Beschreibung ;)

Danke nochmal fuer die Muehe das hier alles niederzuschreiben.
Ich werde denn mal die "Evaluierungsphase" kurzerhand abschliessen und mich 
auf die Praxis stuerzen ;-)

Noch eine Frage: Kann es sein, dass PGPNet jetzt der "McAfee E-Business 
Server" ist? (http://www.mcafeeb2b.com/products/ebusiness-server/default.asp)



Ciao,
Stephan

- -- 
What was my stuff is now our stuff.
In return for this gift, I ask that if you improve our stuff
it remains our stuff. -- skidrash on /. explaining the GPL
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE9LbgG0TAeRPnvmyERAipHAJ93vUS9dn8sJJXUOEIojTBH1bTGQgCfZCTn
eitMRbZSebGAHUNTCJRfxGQ=
=M6tX
-----END PGP SIGNATURE-----